Red Hat Training

A Red Hat training course is available for RHEL 8

15.15.5. Web コンソールで Tang 鍵を使用した自動アンロックの設定

Tang サーバーが提供する鍵を使用して、LUKS で暗号化したストレージデバイスの自動ロック解除を設定します。

前提条件

  • RHEL 8 Web コンソールがインストールされている。

    詳細は「 Web コンソールのインストール」を 参照してください。

  • cockpit-storaged パッケージがシステムにインストールされている。
  • cockpit.socket サービスがポート 9090 で実行されている。
  • clevis パッケージ、tang パッケージ、および clevis-dracut パッケージがインストールされている。
  • Tang サーバーが実行している。

手順

  1. Web ブラウザーに以下のアドレスを入力して、RHEL Web コンソールを開きます。

    https://localhost:9090

    リモートシステムに接続する際に、localhost の部分をリモートサーバーのホスト名または IP アドレスに置き換えます。

  2. 認証情報を指定して、ストレージ をクリックします。暗号化したデバイスを選択し、コンテンツEncryption をクリックします。
  3. Keys セクションの + をクリックして Tang キーを追加します。

    RHEL Web コンソール: 暗号化
  4. Tang サーバーのアドレスと、LUKS で暗号化したデバイスのロックを解除するパスワードを指定します。Add をクリックして確定します。

    RHEL Web コンソール: Tang 鍵の追加
  5. 以下のダイアログウインドウは、鍵ハッシュが一致することを確認するコマンドを提供します。RHEL 8.2 では、tang-show-keys スクリプトが導入され、ポート 7500 で実行している Tang サーバーで以下のコマンドを使用してキーハッシュを取得できます。

    # tang-show-keys 7500
    3ZWS6-cDrCG61UPJS2BMmPU4I54

    RHEL 8.1 以前では、以下のコマンドを使用して鍵ハッシュを取得します。

    # curl -s localhost:7500/adv | jose fmt -j- -g payload -y -o- | jose jwk use -i- -r -u verify -o- | jose jwk thp -i-
    3ZWS6-cDrCG61UPJS2BMmPU4I54
  6. Web コンソールと前述のコマンドの出力のキーハッシュが同じ場合は、Trust key をクリックします。

    RHEL Web コンソール - Tang 鍵の確認
  7. 初期ブートシステムでディスクバインディングを処理できるようにするには、左側のナビゲーションバーの下部にある Terminal をクリックし、次のコマンドを入力します。

    # yum install clevis-dracut
    # dracut -fv --regenerate-all

検証手順

  1. 新規に追加された Tang キーが Keyserver タイプの Keys セクションに一覧表示されていることを確認します。

    RHEL Web コンソール - キーサーバーキーが一覧表示されます。
  2. バインディングが初期ブートで使用できることを確認します。次に例を示します。

    # lsinitrd | grep clevis
    clevis
    clevis-pin-sss
    clevis-pin-tang
    clevis-pin-tpm2
    -rwxr-xr-x   1 root     root         1600 Feb 11 16:30 usr/bin/clevis
    -rwxr-xr-x   1 root     root         1654 Feb 11 16:30 usr/bin/clevis-decrypt
    ...
    -rwxr-xr-x   2 root     root           45 Feb 11 16:30 usr/lib/dracut/hooks/initqueue/settled/60-clevis-hook.sh
    -rwxr-xr-x   1 root     root         2257 Feb 11 16:30 usr/libexec/clevis-luks-askpass

関連情報